Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Linux-Betriebssystem

Der Linux OS DSM für JSA zeichnet Linux-Betriebssystemereignisse auf und leitet die Ereignisse mit syslog oder syslog-ng weiter.

Wenn Sie syslog auf einem UNIX-Host verwenden, aktualisieren Sie das Standard-Syslog auf eine neuere Version, z. B. syslog-ng.

Hinweis:

Führen Sie syslog und syslog-ng nicht gleichzeitig aus.

Um das Linux-Betriebssystem in JSA zu integrieren, wählen Sie eine der folgenden Syslog-Konfigurationen für die Ereigniserfassung aus:

Sie können Ihr Linux-Betriebssystem auch so konfigurieren, dass Überwachungsprotokolle an JSA gesendet werden. Weitere Informationen finden Sie unter Konfigurieren des Linux-Betriebssystems zum Senden von Überwachungsprotokollen.

Unterstützte Ereignistypen

Der Linux OS DSM unterstützt die folgenden Ereignistypen:

  • Cron

  • HTTPS

  • FTP

  • NTP

  • Einfache Authentifizierungssicherheitsschicht (SASL)

  • SMTP

  • SNMP

  • SSH

  • Benutzer wechseln (SU)

  • PAM-Ereignisse (Pluggable Authentication Module).

Konfigurieren von Syslog unter Linux OS

Konfigurieren des Linux-Betriebssystems zum Weiterleiten von Ereignissen mithilfe des Syslog-Protokolls.

  1. Melden Sie sich bei Ihrem Linux-Betriebssystemgerät als Root-Benutzer an.

  2. Öffnen Sie die Datei / etc/syslog.conf und fügen Sie die folgenden Informationen hinzu:

    authpriv.*@<ip_address>

    Wo:

    <ip_address> ist die IP-Adresse von JSA.

  3. Speichern Sie die Datei.

  4. Starten Sie syslog neu, indem Sie den folgenden Befehl eingeben:

    service syslog restart

  5. Melden Sie sich bei der JSA-Konsole an.

  6. Fügen Sie eine Protokollquelle für das Linux-Betriebssystem in der JSA-Konsole hinzu.

    Weitere Informationen zu Syslog finden Sie in der Dokumentation zum Linux-Betriebssystem.

Konfigurieren von Syslog-ng unter Linux OS

Wenn Sie syslog auf einem UNIX-Host zum Weiterleiten von Ereignissen verwenden, aktualisieren Sie das Standard-Syslog auf syslog-ng, eine neuere Version.

  1. Melden Sie sich bei Ihrem Linux-Betriebssystemgerät als Root-Benutzer an.

  2. Öffnen Sie die Datei /etc/syslog-ng /syslog-ng.conf und fügen Sie die folgenden Informationen hinzu:

    source qr_source {

    internal();

    system();

    };

    filter qr_filter {

    facility(auth, authpriv);

    };

    destination qr_destination {

    tcp("<qradar_ip_address>" port(514));

    };

    log{

    source(qr_source);

    filter(qr_filter);

    destination(qr_destination);

    };

    Wo:

    • <JSA_ip_address> ist die IP-Adresse der JSA.

  3. Speichern Sie die Datei.

  4. Starten Sie syslog-ng neu, indem Sie den folgenden Befehl eingeben:

    service syslog-ng restart

  5. Melden Sie sich bei der JSA-Konsole an.

  6. Fügen Sie eine Protokollquelle für das Linux-Betriebssystem in der JSA-Konsole hinzu.

    Weitere Informationen zu syslog-ng finden Sie in der Dokumentation zum Linux-Betriebssystem.

Konfigurieren des Linux-Betriebssystems zum Senden von Überwachungsprotokollen

Konfigurieren Sie das Linux-Betriebssystem so, dass Überwachungsprotokolle an JSA gesendet werden.

Diese Aufgabe gilt für Red Hat Enterprise Linux v6 Betriebssysteme.

Wenn Sie das Betriebssystem SUSE, Debian oder Ubuntu verwenden, finden Sie in der Dokumentation Ihres Herstellers spezifische Schritte für Ihr Betriebssystem.

  1. Melden Sie sich bei Ihrem Linux-Betriebssystemgerät als Root-Benutzer an.

  2. Geben Sie die folgenden Befehle ein:

    yum install audit

    service auditd start

    chkconfig auditd on

  3. Öffnen Sie die Datei / etc/audisp/plugins.d/syslog.conf und stellen Sie sicher, dass die Parameter mit den folgenden Werten übereinstimmen:

    active = yes

    direction = out

    path = builtin_syslog

    type = builtin

    args = LOG_LOCAL6

    format = string

  4. Öffnen Sie die Datei / etc/rsyslog.conf und fügen Sie am Ende der Datei die folgende Zeile hinzu:

    local6.* @@<QRadar_Collector_IP_address>

  5. Geben Sie die folgenden Befehle ein:

    1. service auditd restart

    2. service syslog restart

  6. Melden Sie sich bei der JSA-Konsole an.

  7. Fügen Sie eine Protokollquelle für das Linux-Betriebssystem in der JSA-Konsole hinzu.

Beispielereignismeldung für Linux-Betriebssysteme

Verwenden Sie diese Beispielereignismeldung, um eine erfolgreiche Integration in JSA zu überprüfen.

Hinweis:

Fügen Sie das Nachrichtenformat aufgrund von Formatierungsproblemen in einen Texteditor ein, und entfernen Sie dann alle Wagenrückläufe oder Zeilenvorschubzeichen.

Beispielmeldung für das Linux-Betriebssystem, wenn Sie das Syslog-Protokoll verwenden

Die folgende Beispiel-Ereignismeldung zeigt, dass SELinux verhindert, dass /usr/bin/bask den Übergangszugriff verwendet.

<13>May 22 05:57:26 gnu.linuxserver.test python: SELinux is preventing /usr/bin/bash from using the transition access on a process.#012#012***** Plugin catchall (100. confidence) suggests **************************#012#012If you believe that bash should be allowed transition access on processes labeled unconfined_t by default.#012Then you should report this as a bug.#012You can generate a local policy module to allow this access.#012Do#012allow this access for now by executing :#012# ausearch -c 'bash' --raw | audit2allow -M my-bash#012# semodule -i my-bash.pp#012